yura3d |
Отправлено: 15 февраля 2010 — 18:52
|
ExBB Team ExBB Developer ExBB Mods Author
Покинул форум
Сообщений всего: 3394
Дата рег-ции: Февр. 2009
Откуда: Минск, Беларусь
Репутация: 353
|
altjo
lisiycat
vipraskrutka
Подтверждаю, проблема со скриптом редиректа rd.php есть, но чтобы ей воспользоваться нужно сочетание как минимум 2-х событий. Вредоносную ссылку c XSS (подобную приведённой altjo по ссылке выше) нельзя опубликовать на форуме или переслать в ЛС, эту ссылку и подобные ей можно отправить разве что по e-mail, ICQ и т.п. Если жертва кликнет подобную ссылку (при условии что она использует IE6), злоумышленник может украсть cookies жертвы, иными словами проделать то, что называется XSS.
Чтобы закрыть эту брешь, в самом начале скрипта rd.php разместите фильтрующий фрагмент, который будет осуществлять проверку правильности адреса перед осуществлением редиректа:
CODE:<?php
if (!preg_match('#^(http|https|ftp)\://([a-zA-Z0-9\.\-/%\+\?\&\=\;\:]+)$#is', $_SERVER['QUERY_STRING']))
die;
?>
Данное исправление является критическим, однако тем, у кого мод перехода по внешним ссылкам через редирект не установлен, оно не нужно. |
|
|
yura3d |
Отправлено: 15 февраля 2010 — 19:20
|
ExBB Team ExBB Developer ExBB Mods Author
Покинул форум
Сообщений всего: 3394
Дата рег-ции: Февр. 2009
Откуда: Минск, Беларусь
Репутация: 353
|
vipraskrutka пишет:yura3d интересно о каких дырках в post запросах они еще имели в виду...
А ни о каких, из этой фразы всё становится ясно:
Цитата:Какая кодировка может обойти htmlspecialchars() ?
Вопрос вообще поставлен некорректно. Все входные данные POST экранируются, поэтому в данном случае они пытаются найти кодировку, где экранирование не будет работать (а оно не будет работать в кодировке, где управляющие символы представлены другими значениями их кодов в памяти). Однако это бесмысленно, поскольку браузер оперериует непосредственно ASCII-кодами управляющих символов (хотя в отношении того же IE6 всякое может быть), постольку они будут бесконечно искать свою кодировку и декодеры к ней:
Цитата:Если ответите и дадите ссылу на декодер
Для тех, кто очень сильно боится, предлагаю настроить Apache для принудительной перекодировки всех входящих на форум запросов и отдаваемых страниц форума в windows-1251, тогда смысла в подмене кодировки нет |
|
|
altjo |
Отправлено: 20 февраля 2010 — 13:50
|
ExBB Skins Creator
Покинул форум
Сообщений всего: 277
Дата рег-ции: Февр. 2009
Репутация: 86
|
и есть одна мелочь...
Скрытый текст:Для просмотра Вам необходимо авторизоваться и оставить не менее 20 сообщений (Отредактировано автором: 23 февраля 2010 — 16:14) |
|
|
|
Отправлено: 22 марта 2010 — 06:23
|
Покинул форум
Сообщений всего: 0
Дата рег-ции: N/A
Репутация: 0
|
В последнии дни в логах ошибок хостинга стали появляться такие строки:
CODE:[Mon Mar 22 08:35:47 2010] [error] [client 69.73.154.188] File does not exist: /home/www/vhosts/xxx/httpdocs/
[Mon Mar 22 08:36:06 2010] [error] [client 69.73.154.188] File does not exist: /home/www/vhosts/xxx/httpdocs/
Посмотрел логи доступа, с этого ip пытались зайти по этому адресу:
Скрытый текст:Для просмотра Вам необходимо авторизоваться и оставить не менее 10 сообщений
Решил посмотреть в Гугле, почему такой странный запрос и узнал, что это была попытка взлома через уязвимость скриптов ExBB
Скрытый текст:Для просмотра Вам необходимо авторизоваться и оставить не менее 10 сообщений
Вопрос, эти уязвимости закрыты? |
|
|
|
Отправлено: 22 марта 2010 — 07:03
|
Покинул форум
Сообщений всего: 0
Дата рег-ции: N/A
Репутация: 0
|
yura3d пишет:ildar
Эти уязвимости закрыты более 3-х лет назад, в конце 2006 года (посмотрите на даты публикации сообщений о них). Более того, в новом ядре ExBB FM 1.0 (в отличие от старых ExBB 1.x и ExBB Full Mods 0.1.x) вся служебная информация инкапсулируется (скрывается) в ядре, поэтому любые подобные попытки PHP-инъекций на последних версиях форума бессмысленны
Спасибо, теперь я спокоен
P.S. Самое интересное, что в бюллетене безопасности говорится о версии 1.9.1, скачал из архива эту версию, посмотрел, а там вообще нет ни папки /modules, ни тех файлов, которые перечислены в бюллетене.(Отредактировано автором: 22 марта 2010 — 10:46) |
|
|
Светлана |
Отправлено: 11 августа 2010 — 16:28
|
Забанен
Покинул форум
Сообщений всего: 240
Дата рег-ции: Июнь 2009
Репутация: 8
[+]
|
Который раз уже в папке "members" появляется некий субъект с нечисловым названием файла: __3d80e7ae1c030811c7776443a0878a34.php, и ай-ди 0.
Что за нечисть?
CODE:<?die;?>a:28:{s:2:"id";i:0;s:6:"status";s:2:"me";s:4:"name";s:13:"wetdiedoidogy";s:4:"pass";s:8:
"KuFhMEAV";s:4:"mail";s:22:"megatron300@rambler.ru";s:5:"title";s:0:"";s:5:"posts"
;i:0;s:6:"joined";i:1281110445;s:2:"ip";s:14:"62.153.174.197";s:9:"showemail";b:0;
s:3:"www";s:0:"";s:3:"icq";s:0:"";s:3:"aim";s:0:"";s:8:"location";s:0:"";s:9:"interest
s";s:0:"";s:3:"sig";s:0:"";s:6:"sig_on";b:0;s:4:"lang";s:7:"russian";s:4:"skin";s:12:"I
nvisionExBB";s:7:"timedif";i:0;s:6:"avatar";s:12:"noavatar.gif";s:6:"upload";b:1;s:7:"
visible";b:0;s:6:"new_pm";b:0;s:9:"sendnewpm";b:0;s:10:"posts2page";i:15;s:11:"t
opics2page";i:15;s:10:"last_visit";i:0;}
Грешить ли на хостера? или?(Отредактировано автором: 11 августа 2010 — 16:29) |
|
|
|